Hiiir 資安講座 I 基礎網頁程式攻擊檢驗

702
-1

Published on

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
702
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Hiiir 資安講座 I 基礎網頁程式攻擊檢驗

  1. 1. 2012.12.12 @ Hiiir Inc.Taien Wang<taien_wang@hiiir.com>英屬維京群島商時間軸科技股份有限公司新創事業部Taien內部資安講座 I基礎網頁程式攻擊檢驗
  2. 2. 網頁程式攻擊與防範• 常見弱點• 弱點掃描工具• 基本架構防禦• 推薦書籍
  3. 3. 駭客看到的?
  4. 4. 常用弱點非官方網頁應用程式安全組織 OWASPOWASP 2007 10大弱點 OWASP 2010 10大弱點1 跨站腳本攻擊 (XSS) 注入攻擊2 注入攻擊 跨站腳本攻擊(XSS)3 惡意程式執行 身分驗證功能缺失4 不安全的物件參考 不安全的物件參考5 跨站請求偽造(CSRF) 跨站請求偽造(CSRF)6 程式碼錯誤訊息外漏 安全性設定疏失7 身分驗證功能缺失 未加密的儲存設備8 未加密的儲存設備 無權限的URL控制9 不安全的網路連練 不安全的傳輸防護10 無權限的URL控制 未驗證的導向
  5. 5. 常見的網路攻擊• 注入(Injection)– SQL注入(SQL Injection)– 命令注入(Command Injection)– LDAP注入(LDAP Injection)• 跨網站腳本(Cross-Site Script)• 跨網站請求偽造(Cross-Site Request Forgery, CSRF)• Cookie挾持/偽造(Cookie, Session Hijacking/Spoofing)• 跳脫目錄(Escape Directory)• 上傳過濾(Upload Filter)• 遠端檔案引入(Remote File Inclusion)• 非驗證重導/重送(Unvaildated Redirects and Forwards)
  6. 6. 弱點掃描工具• OWASP Zed Attack Proxy Project• Paros• Nikto• Google skipfish• Burp Suite• Shadow Security Scanner• Acunetix Web Vulnerability Scanner• Xscan• NeXpose• Nessus
  7. 7. 基本防禦架構• Model(商業模型)– 白名單、資料淨化– 拋出錯誤• View– 客戶端Script檢查– XSS、CSRF/XSRF• Controller– 接收欄位檢查必要欄位– 處理錯誤
  8. 8. 範例(1/2)
  9. 9. 範例(2/2)
  10. 10. 未來上線必要流程OWASP弱點測試報告書
  11. 11. 推薦書籍• 程式開發安全– 網路竟然這麼危險!阿里巴巴首席安全專家教你全方位保護網站– 網頁程式駭客攻防實戰-以 PHP 為例– The Web Application Hacker’s Handbook– Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions– Web 2.0 Security - Defending AJAX, RIA, AND SOA– OWASP Testing Guide– OWASP Code Review Guide– The Database Hackers Handbook Defending Database Servers• 軟體安全開發架構– Software Security: Building Security In– Secure Software Development Life Cycle, SSDLC
  12. 12. 網路攻擊與防禦系列分享• 主題: 網頁程式攻擊與防範– 2012.12.12 10:30-11:30• 主題: 安全的開發流程– 2013.01.16 10:30-11:30• 主題: 網路攻擊詳解(一)– 用戶端攻擊與防禦– 2013.02.05 10:30-11:30• 主題: 網路攻擊詳解(二)– 伺服器端攻擊與防禦• 主題: 存取控制與加密演算法

×